我們開發了一種沙盒技術,它可以在隔離環境中模擬特定公司的電腦系統。
大量木馬病毒的開發者想方設法在被感染的電腦上執行他們的惡意代碼,而更複雜的高級持續性威脅(APT)背後的謀劃者則盡量”避免”執行代碼,這樣一來,他們便可以繞過尤其是沙盒的安全技術。
沙盒及逃逸技術
所謂的沙盒技術是鑑別惡意行為的基本工具之一,它本質上是一個受控制的隔離環境。防毒軟體可以在此環境中運行可疑代碼並分析它的所有行為,這一切都不會給真實的電腦系統造成損害。如果檢測到任何惡意行為,防毒軟體可以阻止相關代碼在沙盒外運行。
沙盒這種控制方法對大多數威脅都十分有效,安全廠商也在大多數安全軟體中以各種方式實現了這一機制。也正因此,網路不法分子們已經發明了一種技術,專門檢測惡意軟體是運行在被控制的環境中還是運行在真實操作系統中。最簡單的方法包括試圖訪問外部伺服器(通常沙盒都會阻斷這種訪問)或者檢查系統參數,如果什麼地方出了問題,惡意軟體通常會自毀,並且不會留下任何攻擊痕跡,這讓安全研究人員的工作變得愈發複雜。更高級的一些威脅還會檢測系統中是否有真實的用戶,如果代碼執行過程中沒有任何人為活動的痕跡,那說明代碼可能是在沙盒中運行。
我們對此也自然做出了反應,改進了我們的反逃逸技術。我們的基礎架構中包含了一種十分強大的沙盒技術,它可以模擬各種不同環境,並吸收了卡巴斯基對所有潛在惡意行為積累的知識。安全研究人員可以通過我們的卡巴斯基雲沙盒解決方案遠程使用部分的沙盒功能。
但是對於專門設有安全運營中心的大公司來說,遠程沙盒有時並不適用。首先,許多內部或外部的規定禁止將包括可疑代碼在內的任何訊息傳至第三方伺服器。其次,為攻擊個別公司而設計的惡意軟體可以針對特定基礎架構做一些條件檢查,比如檢查某高度專業化的軟體是否存在於系統中。我們對此的解決方案是卡巴斯基沙盒,它可以部署在企業的基礎架構之內。
卡巴斯基沙盒的關鍵特性
卡巴斯基沙盒不會從企業架構中傳送任何數據,必要時它會使用工作在數據二極管模式下的卡巴斯基私有安全網路。而它最主要的優點是允許研究人員搭建自己的模擬環境,這意味著他們可以創造出和公司員工使用的工作站一模一樣(包括所有特定的軟體和網路設置)的隔離環境,並在此環境中研究可疑對象的行為。
此外,卡巴斯基沙盒技術不僅利用高級行為分析工具追蹤隔離環境中的所有事件,它還可以模擬系統中的人為活動。因此,即便是針對特定公司基礎架構而設計的安全威脅,我們的沙盒也支持對它的引爆、分析和檢測。我們的解決方案可以模擬出運行微軟Windows系統和運行安卓系統的機器。你可以在卡巴斯基沙盒的頁面中了解更多。
資料來源: https://www.kaspersky.com/blog/research-sandbox/36258/